De Stichting Internet Domeinregistratie Nederland (SIDN) heeft op maandagochtend 9 september per ongeluk de gegevens van particuliere domeinnaamhouders inzichtelijk gemaakt via de Whois-zoekmachine op sidn.nl. De fout ontstond tijdens onderhoudswerkzaamheden en leidde ertoe dat namen, adressen, e-mailadressen en telefoonnummers van domeinnaamhouders en hun contactpersonen tijdelijk zichtbaar waren. Inmiddels zijn de gegevens niet langer toegankelijk en is de fout hersteld.
Wat is er gebeurd?
SIDN meldt dat de fout ontstond tijdens onderhoud aan de website. Hierbij zijn webservers vervangen, waarbij een foutieve nieuwe verbinding werd gelegd. De nieuwe servers kregen daardoor onbedoeld toegang tot meer gegevens dan toegestaan, waardoor in de Whois meer registratiegegevens van betrokken domeinnaamhouders zichtbaar werden dan normaal.
“Tijdens het onderhoud zijn webservers vervangen. Hiervoor zijn nieuwe verbindingen gelegd, waarbij een fout is gemaakt. De nieuwe machines hadden onbedoeld meer toegang. Hierdoor waren in de Whois meer registratiegegevens van de betrokken domeinnaamhouder zichtbaar,” aldus SIDN.
Normaal gesproken zijn de gegevens van particuliere domeinnaamhouders alleen zichtbaar voor de beherende registrar en SIDN zelf. De gegevens van zakelijke domeinnaamhouders zijn openbaar, maar die van particuliere domeinhouders mogen dat niet zijn.
Gevolgen van het datalek
De fout leidde ertoe dat bij het opzoeken van een domeinnaam via de Whois-functie op sidn.nl de persoonsgegevens van domeinnaamhouders zichtbaar waren. Deze gegevens omvatten onder andere:
- Naam
- Adresgegevens
- E-mailadres
- Telefoonnummer
Dit betrof zowel de houder van de domeinnaam als de administratieve en technische contactpersonen. Overige informatiesystemen, zoals Whois/IS via command line en RDAP, functioneerden zoals gebruikelijk en hadden geen last van deze fout.
Zorgvuldige Stappen en Melding Autoriteit Persoonsgegevens
SIDN heeft snel actie ondernomen om het datalek te verhelpen. Het incident is gemeld bij de Autoriteit Persoonsgegevens, en SIDN onderzoekt de exacte impact om passende maatregelen te treffen en toekomstige fouten te voorkomen.
“Om dit incident correct af te handelen en te melden bij de Autoriteit Persoonsgegevens doorlopen we zorgvuldig alle stappen. We zijn bezig met een onderzoek naar de exacte impact en treffen maatregelen om dit in de toekomst te voorkomen.” — SIDN
Op 11 september heeft SIDN alle contactpersonen van de 1.918 betrokken domeinnamen in kaart gebracht. Deze personen zijn per e-mail op de hoogte gesteld van het datalek en geïnformeerd over de stappen die zijn ondernomen om de fout te herstellen.
Hulp en Vragen
SIDN heeft aangegeven beschikbaar te zijn voor verdere vragen van betrokkenen. Zij kunnen op werkdagen contact opnemen met SIDN via telefoon (+31 (26) 352 55 55) of e-mail (support@sidn.nl).
Conclusie
Het datalek bij SIDN toont aan hoe onderhoudswerkzaamheden aan digitale infrastructuur per ongeluk kunnen leiden tot onvoorziene fouten en de openbaarmaking van gevoelige gegevens. Hoewel de gegevens slechts tijdelijk zichtbaar waren, is het incident aanleiding voor een grondig onderzoek en een oproep tot verdere beveiligingsmaatregelen om de privacy van domeinnaamhouders te waarborgen.